De TCP / IP-protocolsuite, ontwikkeld onder de bescherming van het Amerikaanse ministerie van Defensie, heeft inherente beveiligingsproblemen gegenereerd aan het protocolontwerp of aan de meeste TCP / IP-implementaties.
Sinds is onthuld dat hackers deze kwetsbaarheden gebruiken om verschillende aanvallen op systemen uit te voeren. Typische problemen die worden uitgebuit in de TCP / IP-suite van protocollen zijn IP-spoofing, poortscannen en denials of service.
De Netflix-onderzoekers hebben 4 tekortkomingen ontdekt die grote schade kunnen aanrichten in datacenters. Deze kwetsbaarheden zijn onlangs ontdekt in Linux- en FreeBSD-besturingssystemen. Ze stellen hackers in staat servers te vergrendelen en externe communicatie te verstoren.
Over de gevonden bugs
De meest ernstige kwetsbaarheid, genaamd SACK Panic, kan worden misbruikt door een selectieve TCP-bevestigingsreeks te verzenden speciaal ontworpen voor een kwetsbare computer of server.
Het systeem zal reageren door te crashen of door de Kernel Panic binnen te gaan. Succesvol misbruik van deze kwetsbaarheid, geïdentificeerd als CVE-2019-11477, resulteert in een remote denial of service.
Denial of service-aanvallen proberen alle kritieke bronnen op een doelsysteem of netwerk te verbruiken, zodat ze niet beschikbaar zijn voor normaal gebruik. Denial of service-aanvallen worden als een aanzienlijk risico beschouwd omdat ze een bedrijf gemakkelijk kunnen ontwrichten en relatief eenvoudig uit te voeren zijn.
Een tweede kwetsbaarheid werkt ook door een reeks kwaadaardige SACKs te verzenden (kwaadaardige bevestigingspakketten) die de computerbronnen van het kwetsbare systeem verbruiken. De bewerkingen werken doorgaans door het fragmenteren van een wachtrij voor het opnieuw verzenden van TCP-pakketten.
Exploitatie van deze kwetsbaarheid, bijgehouden als CVE-2019-11478, verslechtert de systeemprestaties ernstig en kan mogelijk leiden tot een volledige weigering van service.
Deze twee kwetsbaarheden maken gebruik van de manier waarop besturingssystemen omgaan met de bovengenoemde Selective TCP Awareness (afgekort SACK).
SACK is een mechanisme waarmee de computer van een communicatieontvanger de afzender kan vertellen welke segmenten met succes zijn verzonden, zodat de verloren gegane segmenten kunnen worden geretourneerd. De kwetsbaarheden werken door een wachtrij te overlopen waarin ontvangen pakketten worden opgeslagen.
De derde kwetsbaarheid, ontdekt in FreeBSD 12 en het identificeren van CVE-2019-5599, werkt op dezelfde manier als CVE-2019-11478, maar werkt samen met de RACK-verzendkaart van dit besturingssysteem.
Een vierde kwetsbaarheid, CVE-2019-11479., Kan getroffen systemen vertragen door de maximale segmentgrootte voor een TCP-verbinding te verkleinen.
Deze configuratie dwingt kwetsbare systemen om reacties te verzenden over meerdere TCP-segmenten, die elk slechts 8 bytes aan gegevens bevatten.
De kwetsbaarheden zorgen ervoor dat het systeem grote hoeveelheden bandbreedte en bronnen verbruikt om de systeemprestaties te verminderen.
De bovengenoemde varianten van denial of service-aanvallen omvatten ICMP- of UDP-overstromingen, wat de netwerkoperaties kan vertragen.
Deze aanvallen zorgen ervoor dat het slachtoffer bronnen zoals bandbreedte en systeembuffers gebruikt om te reageren op aanvalsverzoeken ten koste van geldige verzoeken.
Netflix-onderzoekers ontdekten deze kwetsbaarheden en ze maakten ze een aantal dagen in het openbaar bekend.
Linux-distributies hebben patches uitgebracht voor deze kwetsbaarheden of hebben een aantal echt nuttige configuratieaanpassingen die ze verminderen.
Oplossingen zijn om verbindingen met een lage maximale segmentgrootte (MSS) te blokkeren, SACK-verwerking uit te schakelen of de TCP RACK-stack snel uit te schakelen.
Deze instellingen kunnen authentieke verbindingen verstoren, en als de TCP RACK-stack is uitgeschakeld, kan een aanvaller een dure kettingreactie veroorzaken van de gekoppelde lijst voor volgende SACK's die zijn verkregen voor een vergelijkbare TCP-verbinding.
Laten we tot slot niet vergeten dat de TCP / IP-protocolsuite is ontworpen om in een betrouwbare omgeving te werken.
Het model is ontwikkeld als een set van flexibele, fouttolerante protocollen die robuust genoeg zijn om storingen te voorkomen in het geval van een of meer knooppuntstoringen.